TechCrunch | Startup and Technology NewsAt WWDC 2024, Apple introduced new options for developers to promote their apps and earn more from them in the App Store.
「常時SSL」の疑問に答えよう、どうすればできるか
簡単に解説すると、安価な証明書はそのほとんどが「ドメイン認証」であり、通常は個人利用が多い。その次が法的な実在証明を行う証明であり、一般企業の多くがこの方式を採用している。最も厳格なものは以前にも解説したが「EV SSL」だ。「物理的実在証明」と呼ばれている。安全な場合はWebブラウザのアドレスバーが緑色に変化するので、初心者が見ても分かりやすいと評判だ。 EV SSL証明書は価格が少し高いものの、顧客の安全を考慮するなら、十分に検討に値するものだろう。定価ベースで年間に約7万~10万円ほど高いだけだ。月1万円にも満たない価格差でより大きな安心感を得られると思えるが、あまり普及していないのは残念である。証明書の処理については、確かに厳密な確認を行うものであるほど時間がかかると想定される。だが、体感ではユーザーが全く気付かない場合がほとんどだろう。 また、「証明書失効リスト」(CRL)をチェ
HTTPS 化する Web をどう考えるか - Block Rockin’ Codes
Update 2015/5/8: 指摘頂いたタイポや誤訳などを更新しました。 2015/5/8: 構成を一部修正しました。 Intro 4/30 mozaiila のセキュリティブログに下記のようなエントリが投稿されました。 Deprecating Non-Secure HTTP | Mozilla Security Blog エントリはそこまで長くないので、ここに翻訳の全文を記載します。 そして、元エントリのライセンスである CC BY-SA 3.0 に則り、 本エントリも同じく CC BY-SA 3.0 とします。 Deprecating Non-Secure HTTP 原文: Deprecating Non-Secure HTTP 今日は、 non-secure な HTTP から、徐々に廃止していくという方針についてアナウンスします。 HTTPS が Web を前進させる手段である
HTTP接続は「安全でない」と明示すべし――Googleが提案
HTTPSを使ったセキュアな接続の普及を目指す米Googleが、ユーザーエージェント(UA)の仕様を段階的に変更して、通信が暗号化されないHTTP接続に対して「安全でない」と明示することを提案している。 この提案の狙いは、「HTTPには情報セキュリティ対策が施されていない」という事実を、もっとはっきりユーザーに示すことにあるとGoogleは説明。「Web上のデータ通信はすべてセキュアでなければならない。情報セキュリティが存在しない場合はそのことを明示して、ユーザーが情報を得たうえで対応を決められるようにしなければならない」と主張する。 背景として米国家安全保障局(NSA)などがネットの監視活動を行っていると伝えられた事例を列挙し、「Web上では改ざんや監視などの攻撃が、理論上ではなく実際に横行している」とした。 具体的にはセキュリティ状況を3段階に分類し、有効なHTTPSなどを使っている場
「SSL証明書無償配布」がもたらすWebの変革、企業ネットの管理にも影響
2015年の夏以降、Webアクセスの姿が大きく変わる可能性が出てきた。現在主に使われている「HTTP(HyperText Transfer Protocol)」の代わりに、SSL(Secure Sockets Layer)やTLS(Transport Layer Security)を用いて通信を暗号化する「HTTPS(HTTP over SSL/TLS)」を利用したWebサイトやサービスが一気に増えることが予想されるからだ。 なぜHTTPの代わりにHTTPSを使うWebサイトやサービスが増えるのか。それは、HTTPSを利用するために必要となる「SSLサーバー証明書」(以下SSL証明書)を誰でも無償かつ簡単に入手できるようになるからである。これまでは、年間数千円から数万円程度の料金をベンダーに支払ってSSL証明書を取得する必要があった。2015年夏以降、これがタダで“も”入手できるようになる
「HeartbleedもShellShockもPOODLEもWAFでまとめて止められる」F5がデモ
Heartbleed(OpenSSLの脆弱性)、ShellShock(GNU Bashの脆弱性)、POODLE Bites(SSL3.0の脆弱性)など、2014年に入って立て続けにWebサーバーを脅かす深刻な脆弱性が見つかっている。こうした脆弱性に対抗するには「パッチの適用」がベストだが、脆弱性が見つかってからすぐにパッチが出るとは限らないし、稼働中のシステムに対して即座にパッチを適用するのが難しいケースもよくある。 そんなWebサーバー管理者の悩みに対して、一つの解となるのがWAF(Web Application Firewall)の導入だ。WAFを導入することにより、Webサーバー自体に脆弱性が残っていても手前で攻撃を見つけて止められる。実際にどれくらい効果があるものなのか、2014年10月29日から31日まで幕張メッセで開催された「第5回情報セキュリティEXPO」において、F5ネット
Google wants to do away with online certificate checks - The H Security: News and Features
Google plans to turn off online checks for SSL certificate validity in its Chrome browser soon, according to a blog post by Adam Langley, the developer in charge of that element of the browser. Instead, the browser will use the update mechanism to receive lists of revoked certificates. When browsers make a connection, they check whether the certificate presented by the server has already been bloc
導入事例からIT製品・サービスを探す|キーマンズネット
基幹系システム ERP 会計システム 電子帳票システム ワークフロー 勤怠管理システム もっと見る 情報共有システム・コミュニケーションツール グループウェア Web会議 テレビ会議/ビデオ会議 ファイル共有 文書管理 もっと見る 情報システム SFA CRM コールセンター/CTI BPM PLM もっと見る メール 電子メール メールセキュリティ メールアーカイブ その他メール関連 もっと見る エンドポイントセキュリティ アンチウイルス 暗号化 認証 ID管理 メールセキュリティ もっと見る ネットワークセキュリティ ファイアウォール WAF IPS UTM セキュリティ診断 もっと見る 運用管理 統合運用管理 IT資産管理 サーバー管理 ネットワーク管理 統合ログ管理 もっと見る バックアップ バックアップツール バックアップサービス テープバックアップ その他バックアップ関連 もっ
Fraudulent certificate triggers blocking from software companies - The H Security: News and Features
Fraudulent certificate triggers blocking from software companies A fraudulent SSL certificate for "*.google.com" issued by Dutch certificate authority (CA) DigiNotar, possibly to the Iranian government or its agents, has triggered a wave of updates from software makers to stop applications trusting the CA. The certificate was issued on 10 July to unknown persons in Iran. Several security experts,
「ページ認証」で証明書発行時の認証をより手軽に
8月26日、GMOグローバルサインはSSLサーバー証明書導入時の認証方式に「ページ認証」を追加し、8月29日より開始すると発表した。 認証局がSSLサーバー証明書を発行する際には、申請者がWebサイトのドメイン所有者本人、もしくは同一組織に属する関係者であることを証明する必要がある。GMOグローバルサインでは以前より、この認証に「メール認証」を採用している。 メール認証は、ドメイン所有者しか受信できない特定のメールアドレスに対し、認証局が認証用メールを送信。そのメールを申請者が受信することで証明を完了する方式だ。しかし企業によっては、ドメイン所有者とSSLサーバー証明書の申請者が異なるケースも多い。認証用のメールを受信するため、メール管理者への設定依頼が必要になったり、WHOISの登録情報を変更する必要が生じていたという。 こうした問題を解消すべく始める新しい認証方式が、ページ認証だ。ペー
ベリサイン、SSLサーバ証明書にマルウェアスキャンを無償提供
日本ベリサインは8月9日、ベリサインSSLサーバ証明書への「VeriSign Trust Seal」機能の無償提供、SSLサーバ証明書の購入サイト「ストアフロント」で取り扱う製品やサービスラインアップの拡充を発表した。 VeriSign Trust Sealは、すべてのベリサインSSLサーバ証明書に無償で提供される機能。運営者は「マルウェアスキャン」と「シールインサーチ」の機能を無料で利用できる。 マルウェアスキャンは、同社のSSLサーバ証明書を購入したドメインに対して、Gumblarのようなマルウェアが埋め込まれていないか、ベリサインが外部からスキャンするサービス。マルウェアが発見された場合は、管理者に連絡して被害拡大を防止する。シールインサーチは、検索サイトでの結果表示欄に、サイト名とともにベリサインのチェックマークが表示されるサービス。特定のセキュリティソフトと検索エンジンの組み合わ
Webサーバーを実在証明する「VeriSign Trust Seal」が2ヶ月無料
8月1日、日本ベリサインは「VeriSign Trust Seal(ベリサイントラストシール)」の無料体験版を発行するサービスを開始した。 これは、「ベリサイントラストシールをより幅広いお客様に利用して頂くために」行なうもので、製品版とまったく同じ機能を2ヶ月間試すことができる。マルウェアスキャンの機能やシールインサーチ導入によるクリック数やコンバージョン率について、自社サイトでの増加効果を検証でき、導入による費用対効果を事前に測定することが可能だ。 ベリサイントラストシール無料体験版は、製品版と同様に、ベリサインが、 企業やサイトを運営する組織・団体の実在性を確認する企業認証 サイトのドメイン所有者が間違いなくその企業であるかの認証作業 を行ない、合格した組織・団体のWebサイトに配布される。このシールが貼付されたWebサイトは、Webサイト運営者による本物のサイトであることを意味し、フ
IPAテクニカルウォッチ 『暗号をめぐる最近の話題』に関するレポート | アーカイブ | IPA 独立行政法人 情報処理推進機構
本ページの情報は2011年5月時点のものです。 IPA(独立行政法人情報処理推進機構、理事長:藤江 一正)は、最近SSL/TLS(*1)プロトコル等、一般ユーザーにも少なからず影響を与えるような、暗号に関する事故・事象が複数連続して発生していることを受け、関係者および一般ユーザーに対して注意を促すため、「暗号をめぐる最近の話題」と題して取りまとめ、技術レポート(IPA テクニカルウォッチ第2回)として公開しました。 概要 オンラインショッピング、インターネットバンキング、ネットトレード等のサービスでは、送信する情報を暗号化するため、および接続先のWebサーバが正当なものであるか確認するため、SSL/TLSプロトコルが利用されています。そして、そのようなサイトの「セキュリティ」の項目をみると、ほぼ例外なく「お客様の情報を守るために“SSLという暗号化技術” を採用」といった記載がされています
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
PC